Meglio una password lunga o una password corta? Siamo obbligati a usare i caratteri speciali, così difficili da ricordare, o possiamo usare parole di senso comune? La verità sta un po’ nel mezzo. In una nuova campagna di supporto ai partiti politici e agli elettori, lanciata in vista delle elezioni Usa di novembre, l’Fbi ha dato alcuni consigli, richiamando le più recenti indicazioni del National Institute of Standards and Technology (Nist). La campagna, interna alla più ampia iniziativa Protected Voices, nasce dalla necessità di arginare gli attacchi informatici e le truffe online in previsione del probabile aumento di queste attività con l’approssimarsi dell’election day in cui si fronteggeranno forse (ma è presto per dirlo con certezza) il candidato democratico Bernie Sanders e il presidente uscente Donald Trump. Ma già le primarie, probabilmente, saranno terreno di battaglia per i diffusori di fake news.

 

Dunque il Federal Bureau, citando il Nist, ha spiegato che attualmente è meglio puntare su parole chiave lunghe, anche se composte da soli caratteri alfanumerici, anziché su brevi combinazioni di lettere, numeri e caratteri speciali. Questi ultimi, come noto, su molti siti Web e servizi online vanno impiegati obbligatoriamente, ma qualora così non fosse è possibile ottenere una buona protezione “anti hackeraggio” usando password composte da più parole e lunghe almeno 15 caratteri.

 

Un buon esempio è una perifrasi come “VoicesProtected2020WeAre” e ancor meglio sono le combinazioni di vocaboli che non hanno attinenza semantica, come “DirectorMonthLearnTruck”. “La lunghezza extra di una perifrasi”, ha spiegato l’Fbi, “rende più difficili le violazioni e allo stesso tempo vi aiuta a memorizzarla”.

 

L’agenzia di intelligence così riassume i consigli validi per le aziende e per i provider di servizi che debbano impostare delle regole di registrazione per i loro utenti: imporre l’uso di parole chiave lunghe almeno 15 caratteri; non obbligarli a utilizzare caratteri speciali e maiuscole; non richiedere cambiamenti di credenziali a meno di sospetto data breach; controllare che nei database delle registrazioni non siano contenute password già oggetto di precedenti violazioni; evitare i “suggerimenti” sulle credenziali per gli utenti smemorati, poiché al loro posto potrebbe esserci un hacker.